Как должен выглядеть iptables на десктопе?

Question

[jirorer230]

Здравствуйте! Решил обезопасить свой домашний компьютер. Мне нужен просто выход в интернет.

Вот такие правила составил:

-P INPUT DROP
-P FORWARD DROP
-P OUTPUT DROP
-A INPUT -i enp2s0 -p udp -m udp --dport 80 -j ACCEPT
-A INPUT -i enp2s0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i enp2s0 -p udp -m udp --dport 443 -j ACCEPT
-A INPUT -i enp2s0 -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -i enp2s0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i enp2s0 -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 80 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 443 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT

Но с такими правилами я не могу зайти на какой-либо сайт. Правила я сохранил. Что я упускаю?

Answer 1

[mordo445]

Исходящие порты, разрешите все. Там задействуется больше, чем 80 и 443, те же браузеры открывают соединения выше 40000 порта. И еще что то, что я с просонья понять не могу)))

Comments

[jirorer230]

хорошо. А на вход надо еще что-то открыть?

[Alexey Dmitriev]

jirorer230, да, смотрите мой ответ ниже. Ваш подход для INPUT в корне не верен -
-A INPUT + --dport - это не сработает, сами подумайте - почему.

Answer 2

[Alexey Dmitriev]

А входящие нужно тоже разрешать все порты одной командой и со state RELATED, ESTABLISHED